4.3.2-测试用户注册流程

已于 2023-11-10 16:12:30 修改
阅读量54 收藏
点赞数
分类专栏: 4.3 身份管理测试 文章标签: web安全
于 2023-10-18 09:17:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44232452/article/details/133898476
版权

测试用户注册流程

ID
WSTG-IDNT-02

总结

某些网站提供用户注册过程,该过程可自动(或半自动)为用户提供系统访问权限。访问的标识要求从肯定标识到完全没有标识不等,具体取决于系统的安全要求。许多公共应用程序完全自动化注册和配置过程,因为用户群的规模使得无法手动管理。但是,许多企业应用程序将手动预配用户,因此此测试用例可能不适用。

测试目标

  • 验证用户注册的标识要求是否与业务和安全要求一致。
  • 验证注册过程。

如何测试

验证用户注册的标识要求是否与业务和安全要求一致:

  1. 任何人都可以注册访问吗?
  2. 注册是在预配之前由人工审查的,还是在满足条件时自动授予的?
  3. 同一个人或身份可以多次注册吗?
  4. 用户可以注册不同的角色或权限吗?
  5. 注册成功需要什么身份证明?
  6. 注册的身份是否经过验证?

验证注册过程:

  1. 身份信息是否容易被伪造或伪造?
  2. 在注册过程中,身份信息的交换可以纵吗

在下面的 WordPress 示例中,唯一的身份证明要求是注册人可以访问的电子邮件地址。
在这里插入图片描述

Figure 4.3.2-1: WordPress 注册页面

相比之下,在下面的 Google 示例中,身份识别要求包括姓名、出生日期、国家/地区、手机号码、电子邮件地址和 CAPTCHA 响应。虽然其中只有两个可以验证(电子邮件地址和手机号码),但身份要求比 WordPress 更严格。

请添加图片描述


Figure 4.3.2-2: Google 注册页面

修复

实施与凭据保护的信息的安全要求相对应的标识和验证要求。

工具

HTTP 代理是测试此控件的有用工具。

引用

用户注册设计

开启学习模式
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA程序开发大全---上半部分
12-15
20.5.3 负责用户注册的Servlet类reg 356 20.5.4 生成随机验证码的imgNum类 358 20.5.5 用户登录页面index.jsp 359 20.5.6 验证用户登录信息的Servlet类login 360 20.6 显示宠物信息模块的实现 363 20.6.1 对应宠物的...
AB测试——流程介绍(设计实验)
WHYbeHERE的博客
03-10 1049
本文继续介绍假设建立和实验设计部分,包括实验对象、样本量计算(显著性水平、统计功效及最小可检测效应)、实验周期。
机房收费系统---测试分析报告
杨楠
12-23 1136
测试分析报告(GB8567——88) 1引言 1.1编写目的 说明这份测试分析报告的具体编写目的,指出预期的阅读范围。 测试分析报告是在测试的基础上,对测试的结果以及测试的数据等加以记录和分析总结,根据测试提供的数据和结果,对要测试出现的问题进行分析,并将测试结果详细的解释或者分析记录下来,以便为以后的开发做一个经验积累,减少后期维护的精力,间,资金。   预期读者:软件开发人员和维
APP安全测试总结-移动APP安全测试
12-05 2134
安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是java汇编代码。dex2jar主要是用来把之前zip解压出来的classed.dex转成jar包的jd-gui主要是用来打开Jar包的APP源代码对于一个公司是非常重要的信息资源,对APP的保护也尤为重要,APP的反编译会造成源代码被恶意者读取,以及APP的逻辑设计,我们一般想要
美多商场 - 用户部分 - 1
apollo_miracle的博客
11-13 1722
1 用户模型类 Django提供了认证系统,文档资料可参考此链接https://yiyibooks.cn/xx/Django_1.11.6/topics/auth/index.html Django认证系统同处理认证和授权。简单地讲,认证验证一个用户是否它们声称的那个人,授权决定一个通过了认证的用户被允许做什么。 这里的词语“认证”同指代这两项任务,即Django的认证系统同提供了认证机...
测试用例设计方法
热门推荐
m0_61504888的博客
03-09 1万+
1. 用例介绍 1.1 定义 为某个业务目标,而编制的一组由测试输入,执行条件以及预期结果组成的案例 1.2 为什么要学习测试用例? 1.在开始实施测试之前设计好测试用例,可以避免盲目测试并提高测试效率。 2.测试用例的使用令软件测试的实施重点突出、目的明确。 3.在软件版本更新后只需修正少部分的测试用例便可展开测试工作,降低工作强度、缩短项目周期。 4.检验软件是否满足客户需求、体现一个测试人员的工作量、展现测试用例的设计思路。 1.3 用例核心要素(16个) 必须掌握:用例编号(如何命
测试用例设计方法详解
ljabcdefg111的博客
04-02 8020
一、测试用例编写前需要进行需求分析 1.测试分析的必要性 (防止漏测,确定测试需求等) 2.测试分析的简要流程(获取测试需求--合并整理测试需求--分解测试子需求--测试分析方法--测试设计方法--测试用例); 3.测试需求的获取渠道(开发需求;标准协议需求;竞争需求;继承需求;用户场景需求;案例库需求); 测试分析方法(质量模型分析法;功能交互分析法;用户场景分析法-不同的用户在哪些情况下执行怎么样的操作)。 二、测试用例设计方法 用例设计方法的作用:测试无法做到穷尽测试,开拓思路需...
尚硅谷谷粒学院学习笔记9--前台用户登录,注册,整合jwt,微信登录
dyk
10-04 2427
用户登录业务 单点登录(Single Sign On),简称SSO. 用户只需要登陆一次就可以访问所有相互信任的应用系统 单点登录三种常见方式 session广播机制实现 使用redis+cookie实现 使用token实现 session广播机制实现 其实就是session复制,从一个模块登录后,存入session复制到其他模块中,但是复制会消耗资源 适合模块数小的项目 使用redis+cookie实现 在项目中任何一个模块登录后,把数据存放到两个地方 1.redis 在key:生成唯一随机值(is,
车载T-BOX
让学习成为一种习惯
05-28 2963
车载T-BOX简单说明与介绍简称车载T-BOX,车载T-BOX主要用于和后台系统/手机APP通信,实现手机APP的车辆信息显示与控制目录1.车载T-BOX的定义。
软件测试知识体系图谱
weixin_50552058的博客
07-07 4602
软件测试基础图谱
停车位管理系统的设计与实现-kaic.docx
11-26
述1.1研究背景1.2研究现状1.3研究内容2 相关技术简介2.1 JSP技术2.2 JAVA...注册流程3.3.2用户登录流程3.3.3信息添加流程3.4 系统用例分析3.4.1管理员用例图3.4.2客户用例图4 系统设计4.1 系统结构设计4.2 系统架构设计...
基于Web的停车场管理系统的设计与实现-kaic
11-24
3.3.1注册流程 3.3.2用户登录流程 3.3.3信息添加流程 3.4 系统用例分析 4 系统设计 4.1 系统结构设计 4.2 系统架构设计 4.2.1总体架构设计 4.2.2系统网络拓扑结构图 4.3系统顺序图 4.3.1用户登录管理模块 4.3.2添加...
基于微信小程序的民宿短租系统设计与实现(视频)-kaic.zip
04-05
目 录 摘 要 Abstract 第1章 绪论 1.1课题开发背景 1.2课题研究现状 1.3课题研究内容 1.4论文结构安排 第2章 系统开发技术和环境介绍 ...6.4.4用户注册功能的测试 6.5测试总结 系统总结与展望 参考文献 致 谢
基于微信小程序的民宿短租系统设计与实现(论文+源码)-kaic.zip
03-28
目 录 摘 要 Abstract 第1章 绪论 1.1课题开发背景 1.2课题研究现状 1.3课题研究内容 1.4论文结构安排 第2章 系统开发技术和环境介绍 ...6.4.4用户注册功能的测试 6.5测试总结 系统总结与展望 参考文献 致 谢
Web安全研究(八)
至臻求学,胸怀云月
05-05 871
S&P 2021石溪大学攻击者依赖于恶意的bot发现易受攻击的网站,并入侵服务器泄漏用户数据。因此了解恶意的bot相当重要。作者设计了Aristaeus,用于部署大量蜜罐网站的系统,专门吸引和记录僵尸流量而存在的网站。每月都收到超过37k的请求数据,且超过一般都是请求试图暴力破解凭证,进行指纹识别,以及利用大量不同的漏洞。比较tls与ua头发现86.2%的bot都声称自己是chrome和firefox,但其实基于简单的http和命令行工具。
网络安全之OSI七层模型详解
m0_65858385的博客
05-06 916
HTTP--80(使用TCP协议),HTTPS--443(TCP),TELNET远程登录服务--23(TCP),SSH远程登陆“安全性较高,加密认证”--22(TCP),RIP--512(UDP),DNS--域名解析53(TCP和UDP)。3.对数据丢失不敏感。组播:一对多,D类地址:源服务器将资源发送到一个组播组上,当用户需要资源,访问该组播组并成为组员,然后该组播组将资源复制传递给用户,可以更好的将数据转发和复制给尽可能远的网络节点,减轻资源服务器的负载。MAC地址也叫物理地址,硬件地址,烧录地址。
web安全学习笔记(13)
m0_58875569的博客
05-09 280
记一下第20-21节课的内容。PHP+HTML套模板做一个企业官网、BurpSuite安装与原理+VPN衔接
<网络安全>《81 微课堂<安全产品微简介(1)>》
最新发布
Else 的博客
05-09 166
产品 简要 防火墙 网络区域边界上部署,主要作用是隔离阻断。 安全审计 一般包括网络日志的分析、网络流量的监控和用户行为的跟踪等。发现网络中的潜在问题和漏洞。 入侵检测IDS 实监控和检测网络中的异常活动和入侵行为。 入侵防御IPS 防病毒软件、防火墙的补充,一般结合IDS使用。可以阻断网络资料传输。 网关 网络互连设备。网间数据传递和转换。可以包含VPN、流控、上网行为审计等。 靶场 虚拟化技术,模拟真实的网络架构、系统设备、业务流程,实现学习、研究、竞赛、演习。
arm-linux-gcc4.3.2 下载
07-14
为了测试编译器是否正常工作,你可以尝试运行 `arm-linux-gcc4.3.2 --version` 命令,它会显示 arm-linux-gcc4.3.2 的版本信息。 注意:下载软件要选择可靠的来源,并经常检查软件站点或官网更新以获得最新版本和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值